跨域、跨子域,跨服务器读取session

最新推荐文章于 2023-07-24 14:21:53 发布
最新推荐文章于 2023-07-24 14:21:53 发布
阅读量8.6k 收藏 2
点赞数
分类专栏: 服务器方面 文章标签: session 服务器 encryption 数据库 iframe domain
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jucrazy/article/details/7162247
版权

1、跨子域和跨服务器解决方式

Session主要分两部分:
   一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在
    另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 Session ID 存储在内存中,关闭浏览器后该 ID 自动注销,重新请求该页面后,重新注册一个 session ID。如果客户端没有禁用 Cookie,则 Cookie 在启动 Session 会话的时候扮演的是存储 Session ID 和 Session 生存期的角色。

   两个不同的域名网站,想用同一个Session,就是牵扯到Session跨域问题!
  默认情况下,各个服务器会各自分别对同一个客户端产生 SESSIONID,如对于同一个用户浏览器,A 服务器产生的 SESSION ID 是 11111111111,而B 服务器生成的则是222222。另外,PHP 的 SESSION数据都是分别保存在本服务器的文件系统中。想要共享 SESSION 数据,那就必须实现两个目标:
     一个是各个服务器对同一个客户端产生的SESSION ID 必须相同,并且可通过同一个 COOKIE 进行传递,也就是说各个服务器必须可以读取同一个名为 PHPSESSID 的COOKIE;另一个是 SESSION 数据的存储方式/位置必须保证各个服务器都能够访问到。这两个目标简单地说就是多服务器(A、B服务器)共享客户端的 SESSION ID,同时还必须共享服务器端的 SESSION 数据。
     第一个目标的实现其实很简单,只需要对 COOKIE 的域(domain)进行特殊地设置即可(setcookie()函数中的第4个参数),默认情况下,COOKIE 的域是当前服务器的域名/IP 地址,而域不同的话,各个服务器所设置的 COOKIE 是不能相互访问的,

    采用这种方式,跨域不行,但同一子域可以,如:aaa.cocoglp.com 和www.cocoglp.com 都属于域 .cocoglp.com是可以的,那么我们就可以设置 COOKIE 的域为 .cocoglp.com,这样 aaa.cocoglp.com、www.cocoglp.com等等都可以访问此COOKIE。这样各个服务器共享同一客户端 SESSION ID 的目的就达到了。

实现如下

-------------------------------------------------------------------------------------------------

这里有三种方式可以实现:

1.只要在php页面的最开始(要在任何输出之前,并且在session_start()之前)的地方进行以下设置

ini_set('session.cookie_path', '/');
ini_set('session.cookie_domain', '.mydomain.com');
ini_set('session.cookie_lifetime', '1800');

2.在php.ini里设置

session.cookie_path = /
session.cookie_domain = .mydomain.com

session.cookie_lifetime = 1800

3.在php页面最开始的地方(条件同1)调用函数

session_set_cookie_params(1800 , '/', '.mydomain.com');

这三种方式都是同样的效果。

设置后,我在sub1和sub2下测试后,发现不起作用,而且奇怪的是,每在一个子域下设置session后,在另一个子域下调用session后,发现session会被清空。测试代码如下

sub1.php

<?php

session_set_cookie_params(1800 , '/', '.mydomain.com');
session_start();
print_r($_SESSION);
$_SESSION['sub1'] = 'sub1';
print_r($_SESSION);

?>

sub2.php

<?php

session_set_cookie_params(1800 , '/', '.mydomain.com');
session_start();
print_r($_SESSION);
$_SESSION['sub2'] = 'sub2';
print_r($_SESSION);

?>

百度+google了半天,发现原来是suhosin的问题。  这也是偶然看到的 https://bugs.php.net/bug.php?id=43682

这里是suhosin 的官网,好像是韩国人开发的 http://www.hardened-php.net/suhosin/configuration.html

suhosin是增加php安全的服务器扩展,比如加密session在服务器上的存储文件,加密cookie等。那么suhosin如何对session保护的呢?

suhosin.session.cryptdocroot

官方解释:Flag that decides if the transparent session encryption key depends on the Documentroot field.

suhosin.cookie.cryptdocroot

官方解释:Flag that decides if the transparent cookie encryption key depends on the Documentroot field.

只要把这两个关闭就可以了,但是这里关闭的方法要注意了

我用

ini_set("suhosin.session.cryptdocroot", "Off");
ini_set("suhosin.cookie.cryptdocroot", "Off");

没有效果,为什么呢?

 因为这两个配置根本不在php.ini里(查找看到是在/etc/php5/conf.d/suhosin.ini)

 打开suhosin.ini

suhosin.session.cryptdocroot = off

suhosin.cookie.cryptdocroot = off

关闭后,重启apache,成功

----------------------------------------------------------------------------------------------------


     第二个目标的实现可以使用数据库来保存SESSION 数据,这样各个服务器就可以方便地访问同一个数据源,获取相同的SESSION 数据了;或者是通过文件共享方式,如 NFS 方式(我的其他文章有如何配置nfs)
     如果用数据库存储session数据的话,可能会有遗留问题,就是如果网站的访问量很大的话,SESSION 的读写会频繁地对数据库进行操作,可以把这个放在memcache中。存放在数据库里的前面有文章实现了。把数据库和memcache结合的思路,前面有了。如果单独用memcache存放session不太好,最好和数据库结合操作。

2)跨域解决

思路:用iframe解决,但是ff不支持,所以需要前面加上p3p协议。

P3P(Platform for Privacy Preferences Project),简单的说,就是个协议,通过其声明它是好人,允许我收集浏览器用户行为吧... 可现实中,大家都可以说自己是好人,背地里没准儿干啥坏事呢。这就是其分歧所在。[参考] 国内多数网站,都不关注这个 P3P。隐私问题可能没国外(微软的隐私声明)重视吧。

首先想到就是通过JS操作Cookie并让两个不同域的cookie能够相互访问,这样就可达到了上述的效果,具体实现过程大致可分以下两个步骤:

1、在A系统下成功登录后,利用JS动态创建一个隐藏的iframe,通过iframe的src属性将A域下的cookie值作为get参数重定向到B系统下b.jsp页面上;

Js代码   收藏代码
  1. var   _frm   =   document.createElement("iframe");  
  2. _frm.style.display="none";  
  3.  _frm.src="http://www.222.com/setcookie.php?mycookie=xxxxx";  //此处xxx最好编码
  4.  document.body.appendChild(_frm);   
2、在B系统的setcookie.php页面中来获取A系统中所传过来的cookie值,并将所获取到值写入用户的cookie中,当然域是自己的了,这样就简单的实现了cookie跨域的访问; 不过这其中有个问题需要注意,就是在IE浏览器下这样操作不能成功,需要在setocokie.php页面中设置 P3P HTTP Header就可以解决了(具体詳細信息可以参考: http://www.w3.org/P3P/),P3P设置代码为:
     header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"');//ecshop这么设置的

上面cp代码的含义
CURa
Information is used to complete the activity for which it was provided.

ADMa
Information may be used for the technical support of the Web site and its computer system.

DEVa
Information may be used to enhance, evaluate, or otherwise review the site, service, product, or market.

PSAo
Information may be used to create or build a record of a particular individual or computer that is tied to a pseudonymous identifier, without tying identified data (such as name, address, phone number, or email address) to the record. This profile will be used to determine the habits, interests, or other characteristics of individuals for purpose of research, analysis and reporting, but it will not be used to attempt to identify specific individuals.

PSDo
Information may be used to create or build a record of a particular individual or computer that is tied to a pseudonymous identifier, without tying identified data (such as name, address, phone number, or email address) to the record. This profile will be used to determine the habits, interests, or other characteristics of individuals to make a decision that directly affects that individual, but it will not be used to attempt to identify specific individuals.

OUR
We share information with ourselves and/or entities acting as our agents or entities for whom we are acting as an agent.

BUS
Info is retained under a service provider's stated business practices. Sites MUST have a retention policy that establishes a destruction time table. The retention policy MUST be included in or linked from the site's human-readable privacy policy.

UNI
Non-financial identifiers, excluding government-issued identifiers, issued for purposes of consistently identifying or recognizing the individual. These include identifiers issued by a Web site or service.

PUR
Information actively generated by the purchase of a product or service, including information about the method of payment.

INT
Data actively generated from or reflecting explicit interactions with a service provider through its site -- such as queries to a search engine, or logs of account activity.

DEM
Data about an individual's characteristics -- such as gender, age, and income.

STA
Mechanisms for maintaining a stateful session with a user or automatically recognizing users who have visited a particular site or accessed particular content previously -- such as HTTP cookies.

PRE
Data about an individual's likes and dislikes -- such as favorite color or musical tastes.

COM
Information about the computer system that the individual is using to access the network -- such as the IP number, domain name, browser type or operating system.

NAV
Data passively generated by browsing the Web site -- such as which pages are visited, and how long users stay on each page.

OTC
Other types of data not captured by the above definitions.

NOI
Web Site does not collected identified data.

DSP
The privacy policy contains DISPUTES elements.

COR
Errors or wrongful actions arising in connection with the privacy policy will be remedied by the service.


Validate at: http://www.w3.org/P3P/validator.html
Learn more at: http://www.fiddlertool.com/redir/?id=p3pinfo
jucrazy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
处理session几种方案
11-22
class Session { //mysql的主机地址 const db_host = "localhost"; //需要第三方指定ip地址 //数据库用户名 const db_user = "root"; //需要第三方指定自己的用户名 //数据库密码 const db_pwd = ""; //需要第三方指定自己的库据库密码 //数据库 const db_name = "thinkphp"; //需要第三方指定数据库 //数据库表 const db_table = "tbl_session"; //需要第三方指定数据表 //mysql-handle private $db_handle; //session-lifetime private $lifeTime; function open($savePath, $sessName) { // get session-lifetime $this--->lifeTime = get_cfg_var("session.gc_maxlifetime"); // open database-connection $db_handle = @mysql_connect(self::db_host, self::db_user, self::db_pwd); $dbSel = @mysql_select_db(self::db_name, $db_handle); // return success if(!$db_handle || !$dbSel) return false; $this->db_handle = $db_handle; return true; } function close() { $this->gc(ini_get('session.gc_maxlifetime')); // close database-connection return @mysql_close($this->db_handle); } function read($sessID) { // fetch session-data $res = @mysql_query("SELECT session_data AS d FROM ".self::db_table." WHERE session_id = '$sessID' AND session_expires > ".time(), $this->db_handle); // return data or an empty string at failure if($row = @mysql_fetch_assoc($res)) return $row['d']; return ""; } function write($sessID, $sessData) { // new session-expire-time $newExp = time() + $this->lifeTime; // is a session with this id in the database? $res = @mysql_query("SELECT * FROM ".self::db_table." WHERE session_id = '$sessID'", $this->db_handle); // if yes, if(@mysql_num_rows($res)) { // ...update session-data @mysql_query("UPDATE ".self::db_table." SET session_expires = '$newExp', session_data = '$sessData' WHERE session_id = '$sessID'", $this->db_handle); // if something happened, return true if(@mysql_affected_rows($this->db_handle)) return true; } else // if no session-data was found, { // create a new row @mysql_query("INSERT INTO ".self::db_table." ( session_id, session_expires, session_data) VALUES( '$sessID', '$newExp', '$sessData')", $this->db_handle); // if row was created, return true if(@mysql_affected_rows($this->db_handle)) return true; } // an unknown error occured return false; }
PHP中session的三种实现方法
10-21
做项目的时候问题在cooike及session中我们经常会使用到了,不过php对于处理是比较简单的了,小编整理了三个解决方案,下面一起来看看。
[转]PHP 实现多服务器共享 SESSION 数据
heiyeluren的blog(黑夜路人的开源世界)
12-30 3749
之前我写过一篇《多Web服务器之间共享Session的解决方案》,今天在网络上看到一篇PHP高手Nio写的文章,觉得非常值得一读,拿来共享一下。PHP 实现多服务器共享 SESSION 数据肖理达 (KrazyNio AT hotmail.com), 2005.09.13, 转载请注明出处一、问题起源稍大一些的网站,通常都会有好几个服务器,每个服务器运行着不同功能的模块,使用不同的二级名,而一个
php 服务器session
weixin_34292924的博客
02-26 69
2019独角兽企业重金招聘Python工程师标准>>> ...
请求Session不共享?你遇到过吗?
gjb760662328的博客
02-20 674
这个原因来自于浏览器的同源策略安全限制, 同源策略会阻止一个的javascript脚本和另外一个的内容进行交互。当我们使用ajax或者axios进行http访问时,非同源内容就会出现请求问题。
php套用Iframe访问导致cookiesession失效问题
qq_39634880的博客
07-24 615
2.Chrome的(这个要注意php版本,低版本是没有ini_set('session.cookie_samesite'这个的,当时搞了半天,最后才发现我这边php版本过低(我这边php版本是5.4.16)导致不生效,可以参考php运行配置。a网站(www.aa.com)嵌入b网站 (www.bb.com) 网站,因为原因,其实如果b网站是以aa.com后缀结尾的话是正常的。1.上面的试了这个IE的没什么用(有可能是我这边版本低导致)
session服代码延时
08-26
session 代码里有a.com,b.com两个站 请选设好虚拟主机。两个站 访问a.com的a.php设过session 访问一下b.com看一下有没有获取到a.com设过的session 代码简单。主要是思路
ThinkPHP框架实现session问题的解决方法
10-25
主要介绍了ThinkPHP框架实现session问题的解决方法,需要的朋友可以参考下
Session共享demo
08-26
参考的官网上的sessions共享,调整对高版本的framework的适应,采用vs2015 。可直接采用生成的cmodel
解决session读取
Sean92的博客
05-22 1191
解决session读取
document.domain
huojiahui22的博客
07-03 761
document.domain 利用document.domain实现: 这两个名必须属于同一个基础名,所用的协议,端口要一致,不然,是无法利用document.domain进行的呢。 比如说: 名是 www.test.com 那什么样的可以用呢? 可以给document.doamin赋值。但是,只能给当前名或者它的基础名赋值,才有效。 document.domain...
iframe(frameset)session丢失问题终极解决方案
情感交流群:58429903 欢迎加入
01-13 2123
常常会遇到,iframe时,另一个系统读不到第一个系统的session。或者有时能读到,有时session却莫名奇妙的丢失问题。下面,我们就这一问题做简要的分析并提出可行的解决方案         假定系统一中一个iframe,包含了系统二的东西。而系统一用户在此iframe加载后还会不定时的再请求系统二,而这第二次请求,往往会发生读不到第一次的请求的session问题。
php 服务器读取数据,php 服务器读取session的方法介绍
weixin_36354744的博客
03-20 492
1、服务器Session主要分两部分:一个是Session数据,该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在。另一个是标志着Session数据的Session Id,Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 ...
PHP在iframe 中session丢失的解决办法
树蛙PHPER
04-07 4311
<br />最近做项目过程中遇到了一个问题那就是<br />PHP在iframe 中session丢失,查了半天最后终于搞定了,方法如下?:<br />在页面A中我们写了session_start() 同时iframe到页面B中,<br />这时候我们的页面B怎么来获取A中定义的SESSION 变量呢,我们只要在页面B中header 一下就行了 如代码:<br /> <br />session_start();<br /> <br />header("P3P: CP=CURa ADMa DEVa PSA
页面间的 JavaScript 访问
jingliu_squirrel的专栏
05-11 605
当某个互联网运营商的网站上规模之后,他们都会考虑将网站部署到主名相同,名不同的服务器集群上,以此来构建一个聚合的应用。同时,希望能够利用 JavaScript,在不同的网页间相互操作,实现一个对用户来说“无缝”的应用。这时,操作的技术难点,仿佛一下服务器后台,转移到了浏览器前台。因为,浏览器将承载访问的任务。为什么会这么说呢?因为,我们已经步入了集成化的 RIA 时代。
解决js问题
soldierluo的专栏
09-11 2988
解决js问题   问题描述: 在框架页面index.aspx中,通过iframe加载多个名的页面,此时名中的页面的js将无法使用,报“没有权限”错误   原因:     因为考虑到安全性的问题,浏览器禁止js进行名的操作,所以出现以上问题   解决方法:     通过将框架页面及iframe加载的名页面的document.domain修改为他们的顶级名可解
PHP session 问题总结
she415582139的博客
11-16 387
Session主要分两部分: 一个是Session数据 该数据默认情况下是存放在服务器的tmp文件下的,是以文件形式存在另一个是标志着Session数据的Session Id, Session ID,就是那个 Session 文件的文件名,Session ID 是随机生成的,因此能保证唯一性和随机性,确保 Session 的安全。一般如果没有设置 Session 的生存周期,则 Session
iframesession丢失问题
hypgr
02-04 180
最近在做一个系统(A),需要在系统(A)中集成目前现存系统(B)的功能。   当然,系统(B)功能在访问时做了登陆限制。(一般性都是:系统登陆后把userId放入session中,在具体的功能页面加入session中userId的判断,   如果session中userId不存在,则跳到登陆页,否则继续加载并正常显示功能。)   那么,在系统(A)中要访问系统(B)的功能无非是要绕过系统(B)的登...
实现单点登陆
一直问自己怎样才能把程序写的更好? 编程境界:干净利落,没有任何多余步骤。 动态能力:反应,逻辑思维
10-13 842
<br />PHP学习笔记之实现单点登陆<br /><br />所谓实现<br />比如A 站点为www.nc.com, B 站点为mail.nc.com,认证中心站点 C为 passport.nc.com。从三个站点的关系可以看出,他们都属于同一个二级 nc.com,不同的是不同.Cookie 本身是不能的,即 A, B 站点读不到C 站点写的 cookie 信息,解决办法很简单,将 cookie 的 domain 属性设置为二级即Cookie. domain=".nc.com",
nginx 解决服务器 问题
最新发布
07-28
解决服务器问题,可以通过配置Nginx来实现。首先,需要在Nginx的配置文件中添加相关的配置。在server块中添加以下配置: ``` server { listen 80; server_name example.com; location / { # 允许...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值